Ponaučení z jednoho předvánočního pokusu o podvod
19.12.2022
Ponaučení z jednoho předvánočního pokusu o podvod

​V předvánočním čase, v době prudce stoupající nákupní horečky, začínají žně i svérázným „obchodníkům“ v prostředí internetu. Určitý typ podvodů lze v tomto období nalézt na každé sociální síti, všude tam, kde lidé prodávají lidem. 


V našem textu vám na jednom takovém reálném pokusu o podvod ukážeme, jak podobný úskok rozpoznat a případně se mu vyhnout. Pokus o podvod, který spolu rozebereme, se udál v prostředí Facebooku, konkrétně v jeho části Marketplace. Byla při něm použita platforma EMS (Express Mail Service), která umožňuje přepravovat zásilky napříč sítí poštovních institucí.

Prvním varovným indikátorem bývá jazyk zprávy

Celá kauza začala inzerátem na sociální síti Facebook a následným kontaktováním prodejce. V článku popsaný princip funguje jak v případě, že jste prodávajícím, tak i v případě, že nakupujete. Zájemce o koupi navrhl jako způsob dodání zboží využít mezinárodní službu EMS Express.



Prvním indikátorem, který by vám měl po přečtení zprávy v hlavě rozblikat červenou kontrolku, je jazyk, jímž je zpráva napsaná, včetně některých použitých formulací. V okamžiku, kdy obdržíte podobný text, vřele doporučujeme pozorněji si prohlédnout profil kontaktující osoby. Zda má nějaké příspěvky, vyplněné informace, přidané přátele (sociální síť bez přátel nedává příliš smysl), přidané fotky atd. Tím získáte alespoň hrubou představu o tom, zda se jedná o validního uživatele, anebo o falešný profil.

Coby prodávající jsme souhlasili s použitím služby EMS, abychom vzápětí obdrželi od kupujícího požadavek na doplnění dalších osobních údajů.



Zde byste měli opět zpozornět. Právě v této fázi obchodu se nervózní, a tedy obvykle ne příliš zkušení podvodníci začínají domáhat bližších informací o vaší platební kartě, respektive dalších osobních údajů. V našem případě byl útočník opatrnější a po poptávaných informacích se přesunul z Facebookového chatu do e-mailové komunikace.

Pozor na falešnou e-mailovou adresu

Podoba obdrženého e-mailu od údajné služby EMS vypadala následovně:



Tady si můžeme na první pohled povšimnout zvláštního předmětu zprávy a podivných svislých čar v levé části e-mailu. V rámci jeho podrobnějšího ověření je samozřejmě záhodno zkontrolovat také adresu odesílatele. V případě služby EMS bychom mohli po právu očekávat, že odesílatelem e-mailu bude některá z pošt, například Česká pošta, tedy cpost.cz.

V našem případě je však odesílatelem express.ems.via.service(zavináč)gmail.com. Přitom je velice nepravděpodobné, že by kterákoliv ze služeb EMS či jiných, prostřednictvím nichž budete kupovat zboží, používaly doménu gmail.com. Služby, které budete využívat, budou mít ve většině případů doménu shodnou se svým názvem, například společnost Zalando rozesílá e-maily z adresy info@service-mail.zalando.cz.

Útočníci se často pokoušejí přesměrovat platbu

Pokračujme dále k samotnému textu e-mailu:



Na první pohled nás tu do očí udeří kostrbatá čeština a nešikovné formulace, včetně podivného oslovení. Málokterá seriózní služba je tak „friendly“, že vám bude v takovém e-mailu a hned napoprvé tykat. Ani s uvedeným střídáním malých a velkých liter v textu se běžně nesetkáváme, stejně jako s různými barvami a velikostí písma.

Pokračujeme-li v četbě e-mailu, dostaneme se k informacím o platbě. Zde je uveden (vcelku) přehledný výčet, co všechno je třeba uhradit a proč. Ale opět špatnou češtinou, znovu za použití kombinace různých barev. Co je zde ale nejdůležitější, je přidaný odkaz, který nás má nasměrovat k platbě – v tomto případě se jedná o stránku dundle(tečka)com.

Pokud si o stránce dohledáme více informací, zjistíme, že si zde můžeme zakoupit předplacený kredit, který lze použít na nákupy, hry nebo telefonování, a to bezpečně a bez starostí. „Digitální kódy posíláme ihned do e-mailu, a to 24 hodin denně, 7 dní v týdnu.“

Tady by nám měl v hlavě vyskočit druhý velký červený vykřičník. Chceme přece posílat zboží přes EMS, proč tedy není platba řešena přes jejich portál, ale je využívána jiná služba?



Ověřte si podmínky služby přímo na jejich oficiálních stránkách

Pokud si v obdobných případech nebudete jisti, jak dále postupovat, uděláte nejlépe, když se podíváte přímo na stránky služby, kterou chcete pro doručení zboží použít nebo která vám byla pro přepravu doporučena.

V našem případě se jedná o EMS, takže jsme si otevřeli jejich web a zjistili, že služba opravdu existuje, a dokonce funguje pod záštitou České pošty (viz https://www.ceskaposta.cz/sluzby/baliky/cr/ems). Na stránkách EMS se také nachází sekce s kontaktními údaji, které je možné použít pro ověření legitimnosti zásilky.

Kontaktovali jsme tedy telefonní operátorku, abychom si ověřili referenční číslo transakce. Dáma na druhé straně aparátu nás však okamžitě upozornila, že referenční čísla zásilek České pošty začínají vždy znaky abecedy, nikoli číslicemi, a tudíž zde něco nesedí.

Podezření na to, že se nás někdo pokouší podvést, se ještě zvýšilo ve chvíli, kdy jsme operátorce sdělili, že zpráva přišla z adresy gmailu. Pracovnice nám obratem potvrdila domněnku, že česká EMS nepoužívá žádnou jinou adresu než (zavináč) cpost.cz.

Osoba, která od nás chtěla zboží zakoupit, měla na svém profilu vyplněnou zemi pobytu Německo. I v konverzaci se zmínila, že není českou občankou. Zamířili jsme proto na stránky centrální služby EMS, tedy https://www.ems.post/en, a dohledali jsme si německou pobočku.

Hned v první části textu byla uvedena kontaktní e-mailová adresa na německou EMS službu. Zde si povšimněme, že za zavináčem není gmail, ale deutschepost. Další střípek do skládačky zapadl. Pro potvrzení naší teorie, že obdržený e-mail nebyl legitimní, jsme se ještě obrátili přímo na Deutsche post. Ta nás bleskově ujistila, že žádný gmailový účet nepoužívá.



Buďte obezřetní, neposkytujte nikomu údaje o své kartě

Je více než pravděpodobné, že za e-mailem stál útočník, který podnikl předvánoční pokus dostat se coby fiktivní zájemce o koupi k cizím penězům.

Jaké ponaučení z toho všeho plyne?

Buďte opatrní a v prostředí internetu obzvlášť. Nepoužívejte služby, které neznáte. Neklikejte bezhlavě, zejména ne na odkazy, které jsou vložené v e-mailech, a pozorně čtěte zprávy, které obdržíte. Rozhodně nikdy a za žádných okolností nikam nevkládejte údaje ze své karty a už vůbec si je neukládejte.

Plaťte raději převodem, případně mějte pro tyto účely separátní (virtuální) kartu. Zvažte, zda by se vám místo debetní karty nevyplatilo používat kreditní.


 

Lubomír Almer, AEC


Lubomír Almer​
Head of Cyber Defense Center
AEC a.s.

security is our DNA